Facebook Twitter Youtube Instagram Linkedin

NIS2: Cosa cambia davvero per le nostre Aziende?

Opportunità e non tegola

| |

La Direttiva NIS2 potrebbe sembrare un tema ormai sgonfiato, eppure la sua rilevanza è più che mai attuale.

La NIS2 è entrata in vigore il 16 ottobre 2024, dopo l’adozione a livello UE il 17 gennaio 2023, ma l’orizzonte si sta concentrando sulla deadline del 31 dicembre 2025. Entro questa data, le organizzazioni dovranno aver “assolto” alla norma, dimostrando la loro conformità.

Questo nuovo quadro normativo europeo per la sicurezza delle reti e dei sistemi informativi nasce da un’esigenza impellente: rafforzare la resilienza digitale delle infrastrutture critiche e dei servizi essenziali, in un contesto di escalation delle minacce informatiche e delle vulnerabilità nei sistemi IT.

 

Cos’è la NIS2: Dettagli, Obiettivi e Scopo

La direttiva NIS2 non è una semplice evoluzione della precedente NIS; è un vero e proprio salto di qualità nella strategia europea di cybersecurity. I suoi obiettivi principali sono chiari:

  • Stabilire una strategia comune di cybersecurity tra tutti gli Stati membri UE, elevando i livelli di sicurezza dei servizi digitali e delle infrastrutture critiche.
  • Armonizzare le misure di cybersecurity a livello europeo, riducendo i disallineamenti tra Stati e promuovendo una risposta coordinata alle minacce.
  • Proteggere le infrastrutture critiche da cyber attacchi che potrebbero compromettere la stabilità economica e sociale dell’Unione.
  • Migliorare la gestione e la notifica degli incidenti di sicurezza, rendendo obbligatoria la segnalazione tempestiva degli attacchi informatici.

A Chi Si Applica la Direttiva NIS2?

L‘ambito di applicazione della NIS2 è significativamente più ampio rispetto alla direttiva precedente, coinvolgendo un numero maggiore di soggetti. Non riguarda solo le grandi aziende, ma si estende a:

  • Organizzazioni di medie e grandi dimensioni (oltre 50 dipendenti o con fatturato superiore a 10 milioni di euro).
  • Piccole imprese che operano in settori critici o nella supply chain di soggetti essenziali.
  • La direttiva copre una vasta gamma di settori, introducendo anche una nuova classificazione che distingue tra soggetti “essenziali” e “importanti”, con obblighi proporzionali al livello di criticità del servizio offerto, garantendo un’applicazione più mirata e coerente.

 

Obblighi e Sanzioni della NIS2: Le 10 Misure Tecnico-Organizzative

Il principio di accountability lascia un buon margine di manovra, ma per la prima volta il legislatore ha elencato 10 misure tecnico-organizzative da considerare. Questo fornisce una solida guideline su come condurre la Cybersecurity all’interno delle nostre organizzazioni. Non è un elenco da spuntare acriticamente, ma da attuare con la diligenza del buon padre di famiglia: non compreresti una porta blindata lasciando la chiave nella toppa.

Le misure tecnico-organizzative della NIS2 includono:

  1. Risk Management
  2. Gestione Incidenti
  3. Business Continuity
  4. Supply Chain
  5. Sicurezza dei Sistemi
  6. Strategie Cyber
  7. Formazione
  8. Crittografia
  9. Sicurezza del personale
  10. Autenticazione a più fattori

 

Di seguito affronto nel dettaglio gli aspetti che per me sono più interessanti, e più centrali, della normativa.

 

Notifica e Gestione degli Incidenti: Tempistiche e Dettagli

Un aspetto fondamentale è la notifica degli incidenti informatici. La direttiva NIS2 impone tempistiche precise per la segnalazione degli attacchi informatici alle autorità competenti:

  • Entro 24 ore: segnalazione preliminare dell’incidente.
  • Entro 72 ore: invio di una relazione dettagliata sull’evento.
  • Entro un mese: relazione finale sulle misure adottate e sulle azioni correttive.

 

Sicurezza della Supply Chain: Proteggere Tutta la Catena

La NIS2 riconosce che la stabilità di un’organizzazione dipende anche dalla sicurezza dei suoi fornitori e partner. Gli obblighi includono:

  • Valutazione e monitoraggio dei rischi legati ai fornitori e ai partner.
  • Clausole contrattuali per garantire che anche terze parti rispettino gli standard di cybersecurity.
  • Certificazioni, audit e controlli periodici sulla supply chain.

Ricordo che il ruolo del fornitore critico è fondamentale: può rientrarvi anche chi è formalmente fuori perimetro dalla direttiva, ma la sua operatività è essenziale per un soggetto rientrante nell’ambito di applicazione della NIS2.

 

Formazione e Sensibilizzazione: Il Fattore Umano è Chiave

Non può esistere un disaster recovery senza formazione. Spesso, in corsi di formazione ai consigli di amministrazione, mi trovo a spiegare cos’è un disaster recovery. Ecco che la formazione è determinante per decidere come attuare ed adottare una soluzione e quale budget allocare.

Per questo, la NIS2 enfatizza l’importanza della formazione e sensibilizzazione:

  • Corsi periodici di formazione per dipendenti e dirigenti.
  • Simulazioni di attacchi informatici per testare la capacità di risposta.
  • Procedure interne per riconoscere e segnalare minacce sospette.

 

Temi Strategici di Cybersecurity e la Compliance NIS2

Ecco quindi che alcuni temi diventano strategicamente prioritari per la compliance NIS2, io vorrei sottolineare 5 punti mandatori secondo la 3CiME:

  1. Business continuity: Essenziale per garantire la ripresa delle operazioni dopo un incidente.
  2. Disaster recovery: Fondamentale per il ripristino dei sistemi e dei dati.
  3. Security Operation Center (SOC): Un centro nevralgico per il monitoraggio e la gestione degli incidenti in tempo reale. Spesso chi ha un SOC necessita di un prodotto IPAM: è successo che un SOC segnalasse la necessità di intervenire su un PC con un dato IP, e solo un’adeguata gestione degli indirizzi ha permesso di risalire all’utente di Active Directory corrispondente e alla porta dello switch collegato.
  4. Privileged Access Management (PAM): Per controllare e monitorare gli accessi ai sistemi critici.
  5. Penetration test continuativi: Per identificare proattivamente le vulnerabilità. Tuttavia, fare dei penetration test o vulnerability management senza un censimento degli asset è palesemente inutile.

 

Controlli, Audit e le Sanzioni della NIS2

Le organizzazioni soggette alla direttiva dovranno prepararsi a controlli interni regolari e agli audit ufficiali delle autorità di vigilanza, documentando accuratamente le attività svolte per garantire la sicurezza informatica.

La non conformità alla NIS2 può portare a multe fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’azienda, a seconda di quale importo sia maggiore.

Per non parlare della possibilità di sospensione temporanea dei servizi e istruzioni vincolanti da parte delle autorità competenti.

 

Opportunità, non tegola

Da qui si capisce come la cybersecurity rimanga un progetto end-to-end, senza soluzione di continuità, che presuppone una coerenza di fondo che non ammette approssimazioni. La Direttiva NIS2 rappresenta non solo un obbligo, ma una grandissima opportunità per tutte le organizzazioni di elevare il proprio livello di protezione e di prepararsi a un futuro digitale sempre più interconnesso e minacciato.

 

Giuseppe Mazzoli
Amministratore Unico di 3CiME Technology

Condividi

Video in evidenza

Vai a tutte le Video pillole

Le aziende del Gruppo MEET IT

  • 3CiME Technology s.r.l.
  • Via di Corticella 89/2 - 40128 Bologna
  • 051/4070383
  • info@3cime.com | 3cime@legalmail.it
  • P.IVA IT02817851203
  • Numero REA: BO - 469844
  • Capitale Sociale € 100.000,00 i.v.
Facebook Twitter Youtube Instagram Linkedin
  • NT Nuove Tecnologie s.r.l.
  • V.le Alcide De Gasperi 37 - 33100 Udine
  • 0432/524001
  • info@ntonline.it | info@pec.ntonline.it
  • P.IVA IT01966200303
  • Progetti finanziati
Facebook Twitter Youtube Instagram Linkedin

INFORMAZIONI PIÙ PRECISE?

Lascia un tuo recapito e ti ricontattiamo noi.

An eLogic Project – Privacy PolicyCookie Policy